阿里云风险提示函数对输入IP验证不当,导致黑客可构造类似于012.10.10.10这样的畸形IP绕过验证修复办法

  • 阿里云风险提示函数对输入IP验证不当,导致黑客可构造类似于012.10.10.10这样的畸形IP绕过验证修复办法已关闭评论
  • A+

标题有点长,不过没有关系,只要方便大家搜索就ok,关于阿里云风险提示函数对输入IP验证不当,导致黑客可构造类似于012.10.10.10这样的畸形IP绕过验证处理办法,阿里云提示如下:

wordpress /wp-includes/http.php文件中的wp_http_validate_url函数对输入IP验证不当,导致黑客可构造类似于012.10.10.10这样的畸形IP绕过验证,进行SSRF

处理办法有两个,一个是在阿里云内部开头专业版,具体可根据阿里云相关提示进行操作,实现一键修复,免费的只能撑7天,过了7天试用期还是要收费,本人比较抠门,不想给。于是网上找了一下,终于有了解决办法,而且立马生效。

步骤如下:

通过FTP把wordpress /wp-includes/目录下的http.php文件下载到桌面——使用代码编辑器打开编辑——修改wp-includes/http.http文件中大概在第553行,版本不一样可能有所差异——把原来的:

preg_match('#^(([1-9]?\d|1\d\d|25[0-5]|2[0-4]\d)\.){3}([1-9]?\d|1\d\d|25[0-5]|2[0-4]\d)$#', $host)

修改为:

preg_match('#^(([1-9]?\d|1\d\d|25[0-5]|2[0-4]\d|0+\d+)\.){3}([1-9]?\d|1\d\d|25[0-5]|2[0-4]\d)$#', $host)

效果立竿见影,修改后再回头去阿里云验证,风险提示消失,本人亲测,此法可解决。

不过,用了此法之后,次日我的站点就打不开,出现了这个提示:Error establishing a database connection,意思是建立数据库连接是发生错误,不知是否属于巧合,之前的网站一直好好的,一年多从未有此事发生,故而我还是先删除了改过的代码先,在观察看看,在此顺便也告知大家一下,以免与我一样的事情发生。

后面将持续关注,如果跟这个无关,届时再行更新。